OSDN -- 오픈 소스 소프트웨어 개발 및 다운로드
Translation Status of 한국말 translation status for ko

포럼: osCommerce 一般 (Thread #8090)
Return to Thread list RSS

セッションハイジャック? (2005-07-07 14:13 by Anonymous #15142)

oscommerce2.2MSIを利用しています。
独学で店舗用のサイトを運営しています。。。

先日、お客様から「アクセスするとログイン名が他人の名前で出ている」と電話がありました。

その「他人」とは当店の別の登録ユーザーでした。
どうも同時刻に2人はアクセスしてきたようだというのはわかっている情報です。

お客様にはログアウトを促してもう一度ログインしていただくと自分のログインはできたようなのですが、
その瞬間他人の状態でログインできたいたことになるんですよね?

こんなことは初めて言われたので戸惑っています。
いくら同時刻でもセッションIDの重複なんて起こるんでしょうか?
どなたかご教授下さい。

※気になる点として、インストール時に/tmpに保存するよう設定したのと関係があるのでしょうか。。。



Reply to #15142×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Login

RE: セッションハイジャック? (2005-08-12 17:09 by Anonymous #15769)

> いくら同時刻でもセッションIDの重複なんて起こるんでしょうか?

困ったことに、リンクURLにセッションIDが含まれてると容易に重複します。

そして、SpiderKiller無し環境ではクローラーがセッションID付きのURLを
持ってちゃいまいますし、cookie喰わないヒトが、セッションID付きのURLを
持って行っちゃう可能性も大いに有ります。

osCレベルの対策としては

A. リファラーを見て「明らかに自サイト外から飛んできた」と判別出来る
場合にセッションを付け替える(session.referer_check)

B. ログイン時にセッションを再生成する(Recreate Session)

の2つがありますので、早急に両方を実施されることをお勧めします。
Reply to #15142

Reply to #15769×

You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.) Login